零信任網絡 在不可信網絡中構建安全系統

[美] 埃文·吉爾曼(Evan Gilman),道格·巴斯(Doug Barth)

立即出貨

買這商品的人也買了...

商品描述

《零信任網絡:在不可信網絡中構建安全系統》分為10章,從介紹零信任的基本概念開始,描述了管理信任,網絡代理,建立設備信任、用戶信任、應用信任以及流量信任,零信任網絡的實現和攻擊者視圖等內容。《零信任網絡:在不可信網絡中構建安全系統》主要展示了零信任如何讓讀者專註於構建強大的身份認證和加密,同時提供分區訪問和更好的操作敏捷性。通過閱讀《零信任網絡:在不可信網絡中構建安全系統》,讀者將瞭解零信任網絡的架構,包括如何使用當前可用的技術構建一個架構。

《零信任網絡:在不可信網絡中構建安全系統》適合網絡工程師、安全工程師、CTO以及對零信任技術感興趣的讀者閱讀。

本書適合網絡工程師、安全工程師、CTO以及對零信任技術感興趣的讀者閱讀。

作者簡介

埃文·吉爾曼(Evan Gilman)是一名計算機網絡工程師,目前為互聯網公共社區工作。Evan的整個職業生涯都致力於研究如何在危險的網絡環境中構建和運營安全系統。

道格·巴特(Doug Barth)是一名軟件工程師,曾服務於Orbitz、PagerDuty等不同規模的公司。他在構建監控系統、無線自組網(Mesh Network)、故障注入等技術方向有豐富的實踐經驗。

譯者簡介

奇安信身份安全實驗室,是奇安信集團下屬專注“零信任身份安全架構”研究的專業實驗室。奇安信集團作為中國人員規模最大的網絡安全公司,擁有超過6400名員工,產品已覆蓋90%以上的中央政府部門、中央企業和大型銀行,2016-2018年三年的營業收入的年復合增長率超過90%,增長速度創國內記錄。實驗室以“零信任安全,新身份邊界”為技術思想,推出“以身份為中心、業務安全訪問、持續信任評估、動態訪問控制”為核心的奇安信零信任身份安全解決方案。為幫助廣大讀者和技術愛好者更好理解零信任安全架構及技術體系,實驗室同步在線上成立零信任安全社區(微信ID:izerotrust),分享和推送“零信任身份安全架構”在業界的研究和落地實踐,歡迎廣大讀者和業界人士關注。

目錄大綱

第1章零信任的基本概念1 
1.1什麼是零信任網絡1 
1.2邊界安全模型的演進4 
1.3威脅形勢的演進8 
1.4邊界安全模型的缺陷11 
1.5信任在哪裡14 
1.6自動化系統的賦能15 
1.7邊界安全模型與零信任模型的對比15 
1.8雲環境的應用17 
1.9總結18 
第2章信任管理20 
2.1威脅模型22 
2.2強認證24 
2.3認證信任26 
2.4最小特權29 
2.5可變的信任31 
2.6控制平面和數據平面35 
2.7總結36 
第3章網絡代理39 
3.1什麼是網絡代理40 
3.2如何使用網絡代理41 
3.3如何適當地暴露網絡代理43 
3.4標準的缺失44 
3.5總結46
第4章授權47 
4.1授權體系架構47 
4.2策略執行組件49 
4.3策略引擎50 
4.4信任引擎54 
4.5數據存儲系統56 
4.6總結57 
第5章建立設備信任59 
5.1初始信任59 
5.2通過控制平面認證設備64 
5.3設備清單管理72 
5.4設備信任續租76 
5.5軟件配置管理79 
5.6使用設備數據進行用戶授權82 
5.7信任信號83 
5.8總結84 
第6章建立用戶信任86 
6.1身份權威性86 
6.2私有系統的身份初始化88 
6.3身份的存儲90 
6.4何時進行身份認證91 
6.5如何認證身份93 
6.6用戶組的認證和授權99 
6.7積極參與、積極報告100
6.8信任信號101 
6.9總結102 
第7章建立應用信任104 
7.1理解應用流水線105 
7.2信任源代碼106 
7.3構建系統的信任108 
7.4建立分發系統的信任111 
7.5人工參與115 
7.6信任實例116 
7.7運行時安全118 
7.8總結122 
第8章建立流量信任124 
8.1加密和認證124 
8.2首包認證建立初始信任126 
8.3網絡模型簡介128 
8.4零信任應該在網絡模型中的哪個位置132 
8.5協議136 
8.6過濾147 
8.7總結153 
第9章零信任網絡的實現155 
9.1確定實現範圍155 
9.2建立系統框圖160 
9.3理解網絡流量161 
9.4無控制器架構163
9.5定義和安裝策略167 
9.6零信任代理168 
9.7客戶端與服務端遷移170 
9.8案例研究171 
9.9案例:Google BeyondCorp 171 
9.10案例研究:PagerDuty的雲平台無關網絡183 
9.11總結188 
第10章攻擊者視圖190 
10.1身份竊取190 
10.2分佈式拒絕服務攻擊(DDoS) 191 
10.3枚舉終端192 
10.4不可信的計算平台192 
10.5社會工程學193 
10.6人身威脅193 
10.7無效性194 
10.8控制平面安全195 
10.9總結196